Během 82 % útoků s chybějící telemetrií kyberzločinci vypnuli nebo smazali protokoly

1. 12. 2023. (redaktor: František Doupal, zdroj: Sophos)
Studii Active Adversary Report for Security Practitioners společnosti Sophos zjistila, že telemetrické záznamy chyběly u téměř 42 % zkoumaných útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy.

Mezery v telemetrii omezují tolik potřebný přehled o dění v sítích a systémech organizací, zejména proto, že doba pohybu útočníka v síti (tedy doba od počátečního přístupu do detekci) se stále zkracuje. Tím se zkracuje i doba, kterou mají obránci na účinnou reakci na incident.

„Při reakci na aktivní hrozbu je rozhodující čas. Doba mezi zjištěním počátečního přístupu a úplným odvrácením hrozby by měla být co nejkratší. Čím dále v řetězci útoku se útočník dostane, tím větší budou mít obránci problémy. Chybějící telemetrie jen prodlužuje dobu nápravy, a to si většina organizací nemůže dovolit. Proto je nezbytné úplné a přesné logování. Až příliš často se ale setkáváme s tím, že organizace nemají potřebná data k dispozici,“ řekl John Shier, technický ředitel společnosti Sophos.

Sophos ve své studii klasifikuje ransomwarové útoky s dobou pohybu v síti kratší nebo rovnou pěti dnům jako „rychlé“, a ty tvořily 38 % zkoumaných případů. „Pomalé“ ransomwarové útoky jsou takové, při kterých se útočníci zdrželi v síti déle než pět dní. Ty představují 62 % případů.

Při zkoumání těchto „rychlých“ a „pomalých“ ransomwarových útoků na detailní úrovni se nástroje, techniky a binární soubory typu LOLBins (living-off-the-land), které útočníci nasadili, příliš nelišily, což naznačuje, že obránci nemusí se zkracující se dobou pohybu útočníků v síti vymýšlet nové obranné strategie. Obránci si ale musí uvědomit, že rychlé útoky by mohly ztížit včasnou reakci, což by vedlo k větší destrukci.

„Kyberzločinci inovují, jen když musí, a jen do té míry, aby se dostali ke svému cíli. Útočníci nezmění to, co funguje, i když se v době od proniknutí do sítě po detekci pohybují rychleji. To je pro organizace dobrá zpráva, protože nemusí radikálně měnit svou obrannou strategii, přestože útočníci postupují rychleji. Stejná obrana, která detekuje rychlé útoky, se použije na všechny incidenty bez ohledu na rychlost. To zahrnuje kompletní telemetrii, komplexní ochranu a všudypřítomné monitorování,“ řekl Shier. „Klíčem k úspěchu je zkomplikovat útok jakkoli je to možné. Pokud útočníkům ztížíte práci, můžete získat cenný čas na reakci a prodloužit každou fázi útoku.

„Pokud například zkomplikujete ransomwarový útok, můžete oddálit dobu do exfiltrace dat,“ dodal Shier. „Exfiltrace přitom často nastává těsně před detekcí a je také často tou nejnákladnější částí útoku. To se stalo ve dvou případech ransomwarových útoků skupiny Cuba. Jedna ze společností měla zavedeno nepřetržité monitorování pomocí MDR, takže jsme byli schopni odhalit škodlivou aktivitu a zastavit útok během několika hodin, abychom zabránili krádeži dat. Druhá společnost takový bezpečnostní prvek neměla, a útok zaznamenala až několik týdnů po prvotním přístupu a poté, co skupina Cuba již úspěšně exfiltrovala 75 gigabajtů citlivých dat. Teprve pak zavolali náš tým pro reakci na incidenty, a ještě o měsíc později se stále snažili vrátit k běžnému provozu.“

O studii

Studie Sophos Active Adversary Report for Security Practitioners vychází z poznatků při 232 případech reakce společnosti Sophos na incidenty ve 25 odvětvích v období od 1. ledna 2022 do 30. června 2023. Organizace, které byly cílem útoku, se nacházely ve 34 různých zemích na šesti kontinentech. Plných 83 % případů pocházelo z organizací s méně než 1 000 zaměstnanci.

Štítky: 
Bezpečnost, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více